Защита персональных данных работников на примере ООО «Диалком»

МИНИСТЕРСТВО  ОБРАЗОВАНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН

ГБОУ СПО  «…. государственный колледж ….»

ДОПУЩЕН К ЗАЩИТЕ

Заведующая  экономическим отделением

___________________ …………………..

____________________________ 2012 г.

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ,

НА ПРИМЕРЕ ОРГАНИЗАЦИИ

ДИПЛОМНАЯ РАБОТА

Руководитель дипломной работы ………………..

Выполниа

2012

СОДЕРЖАНИЕ

ВВЕДЕНИЕ 3

1 ПЕРСОНАЛЬНЫЕ ДАННЫЕ

В ДЕЛОПРОИЗВОДСТВЕ ПРЕДПРИЯТИЯ 6

1. Понятие персональных данных      6

2. Общие требования при обработке

персональных  данных работника и гарантии их защиты 10

1.3 Работа кадровой службы с персональными данными  14

1.4 Контроль защиты персональных данных работников  17

2. ПРАВОВАЯ И НОРМАТИВНАЯ БАЗА ЗАЩИТЫ

ПЕРСОНАЛЬНЫХ  ДАННЫХ       22

1. Нормативные акты, устанавливающие

правила по защите персональных данных    22

2. Нововведения в законодательстве по защите

персональных  данных        26

3. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

НА ПРИМЕРЕ  ООО «Диалком»       29

1. История организации, вид деятельности    29
2. Методические рекомендации

по защите персональных данных в ООО «Диалком»   31

ЗАКЛЮЧЕНИЕ          34

СПИСОК ЛИТЕРАТУРЫ        38

Приложение 1          40

Приложение 2          45

ВВЕДЕНИЕ

В XXI веке у человечества появляется все больше новых объектов, нуждающихся в защите путем закрепления соответствующих норм в законе. Основной объект на сегодняшний день – это информация. Как в России, так и в зарубежных странах предусматривают немалое количество норм, направленных на регулирование создания, пользования, передачи и защиты информации во всех ее формах.

Стоит отметить, что процесс  жизнедеятельности предполагает обмен  информации о личности, предоставление информации о себе обществу, в различные  организации. Процесс трудовых отношений  предполагает предоставление работодателю от работника информации о себе, персональных данных. Без достоверной информации о работниках, не возможно управление персоналом. Это обстоятельство закреплено в Трудовом кодексе Российской Федерации (далее – ТК РФ). Работодателю разрешено получать, хранить, использовать персональные данные работников. Однако, законодательство определило требования к обработке персональных данных работников, гарантии их защиты.

В последние  годы разрабатывается и совершенствуется законодательство, регламентирующее защиту персональных данных. Принятие Государственной Думой РФ Закона «О персональных данных» характеризует усилия государства создать соответствующее законодательство. Уже в момент принятия ТК РФ в 2001 новеллой законодательства о труде стала глава 14 ТК РФ, посвященная защите персональных данных работников.

Международные акты также предусматривают нормы, защищающие персональные данные человека от произвольного использования. Среди  специальных актов в области  защиты персональных данных можно назвать  Конвенцию Совета Европы о защите личности в связи с автоматической обработкой персональных данных, которая, в числе прочего, подчеркивает необходимость совмещения и сбалансированного регулирования таких ценностей, как уважение к конфиденциальности частной жизни и свободный обмен информацией между народами.

Однако многие руководители до сих пор четко  не представляют, что необходимо делать для обеспечения эффективной  защиты конфиденциальности работников. Такая ситуация обусловлена отсутствием  практики применения норм Закона в  проектах по обеспечению защиты конфиденциальности. Одно из многочисленных требований закона – это разработка организационного документа положения о защите конфиденциальности работника. Методологические основы для разработки такого положения в организации есть, но с учетом специфики организации разработка такого локального документа может быть осуществлена в организации.

Таким образом, актуальность темы дипломного исследования обусловлена важностью разработки организационных внутренних документов, обеспечивающих защиту персональных данных работника в организации.

Целью дипломной работы является исследование трудовых отношений в сфере защиты персональных данных работников и разработка рекомендаций для работы кадровой службы в сфере защиты персональных данных.

Для достижения поставленной цели необходимо решить следующие задачи:

1. Определить понятие персональных данных;
2. Описать задачи кадровой службы при работе с персональными данными;
3. Изучить нормативные акты, устанавливающие правила по защите персональных данных;
4. Разработать рекомендации для защиты персональных данных работников.

Объект исследования - Общество с ограниченной ответственностью «Диалком».

Предмет исследования  – технология защиты персональных данных работников в кадровом делопроизводстве в исследуемой организации.

Методы исследования:

1. эмпирический метод, включающий в себя наблюдение и классификацию исследуемого материала;
2. сравнительно-сопоставительный анализ для выявления последствий при неправильной работе с персональными данными.

Материалом  изучения послужили законодательные акты РФ; Учебные пособия; статьи периодических изданий: «Делопроизводство и документооборот на предприятии», «Управление персоналом» «Кадровое делопроизводство», а также электронные ресурсы «Консультант Плюс».

Дипломная работа содержит введение, 3 главы, заключение, приложения и список литературы.

В первом разделе дипломной работы были выявлены наиболее важные приемы при работе с персональными данными в делопроизводстве предприятия

Во втором разделе – проанализирована правовая и нормативная база по защите персональных данных.

В третьем разделе  – предложены рекомендации по защите персональных данных в ООО «Диалком»

Практическая  значимость дипломной работы заключается в применении правил защиты персональных данных в кадровых службах.

1 ПЕРСОНАЛЬНЫЕ  ДАННЫЕ В ДЕЛОПРОИЗВОДСТВЕ ПРЕДПРИЯТИЯ

1.1 Понятие персональных  данных

Во всем мире давно персональные данные защищают на уровне государства при помощи специальных законов, регулирующих порядок сбора, хранения и использования  сведений о гражданах страны. В России же законодательство о защите персональных данных стало работать только с 2007 г.

Для того, чтобы  разобраться как правильно защищать и обрабатывать персональные данные, определимся в самом понятии.

Статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту - ФЗ «О персональных данных») дает следующее определение персональным данным: «Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

Персональные данные относятся к категории конфиденциальной информации. Они указаны в Перечне сведений конфиденциального характера, утвержденного Указом Президента РФ от 6 марта 1997 г. № 188 "Об утверждении Перечня сведений конфиденциального характера" (Собрание Законодательства  РФ. 1997. № 10. ст. 1127). Работодатель, получающий доступ к персональным данным, должен обеспечить конфиденциальность таких данных.

Конфиденциальность  означает, что любое лицо, получившее доступ к персональным данным, не должно допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.¹ Не требуется обеспечивать конфиденциальность обезличенных и общедоступных персональных данных.

Так, к обезличенным персональным данным относятся данные, в отношении которых невозможно определить их принадлежность к конкретному лицу. А если не известно, кому именно принадлежат эти данные, то режим конфиденциальности снимается.

К общедоступным  персональным данным относятся данные, доступ к которым с согласия гражданина может быть предоставлен неограниченному кругу лиц  ФЗ «О персональных данных» дает следующее определение общедоступных персональных данных: «общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности». К таким данным относится разнообразная справочная информация, частные объявления, массивы данных для осуществления прямого маркетинга и т.п. В «Перечне сведений конфиденциального характера» также дается оговорка относительно общедоступных персональных данных: не являются конфиденциальными сведения, подлежащие распространению в средствах массовой информации. Такой специальный правовой режим персональных данных устанавливается для лиц, занимающих высшие государственные должности, и кандидатов на эти должности в соответствующие периоды, в частности в период предвыборной кампании.

Для целей трудового  законодательства определение персональных данных дано в ст. 85 ТК РФ - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника Работодателями и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.

К числу необходимых  работодателю и не подлежащих разглашению  можно отнести:

• документы, представляемые работником при трудоустройстве;
• справки о состоянии здоровья, если необходимость их представления предусмотрена законодательством;²
• документы, подтверждающие право работника на определенные гарантии, компенсации и льготы, установленные трудовым законодательством, например, справка об инвалидности, удостоверение почетного донора РФ и др.;
• документы о составе семьи, возрасте ребенка, беременности, предоставляемые для улучшения условий труда;
• сведения о членстве работника в профессиональных союзах, для соблюдения положений ст. 373, 374, 376 ТК РФ.

Работодатель  всегда собирал данные о личности работника. Для этой цели использовались "Листок по учету кадров" и различные анкеты, а также письменные характеристики и т.д.

Постановление Госкомстата РФ от 5 января 2004 г. № 1 «Об утверждении унифицированных  форм первичной учетной документации по учету труда и его оплаты»  предписывает каждому работодателю, независимо от организационно-правовой формы заполнять на каждого работника личную карточку формы № Т-2 (Приложение 1). В нее заносятся сведения о месте жительства работника, о знании им иностранных языков, о состоянии в браке и даже о составе семьи. Кроме того, с предоставлением работником сведений о частной жизни связано получение определенных льгот. Например, при наличии у работника несовершеннолетнего ребенка он имеет право подать заявление на получение ежемесячного налогового вычета. Если же сам работник является инвалидом, то он имеет право на сокращенную продолжительность рабочего времени и отпуск без сохранения заработной платы продолжительностью до 60 дней.

В правоотношениях, связанных с оборотом персональных данных, выступают две стороны:

субъект персональных данных — собственник персональных данных, физическое лицо, данные о котором  находятся в обороте (как правило, это граждане);

оператор —  государственный орган, муниципальный  орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Действующим ФЗ «О защите персональных данных» защищается любая документированная информация, незаконное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. При этом преследуется цель защиты конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных.

Каждый оператор обрабатывает определенные категории персональных данных в зависимости от видов и целей своей деятельности. Например, перечень персональных данных клиентов различных компаний, как правило, включает контактные данные, необходимые для связи с клиентами, и сведения о предоставленных услугах. Полагаем, что состав этих сведений не должен быть слишком большим, оставаясь достаточным, чтобы учитывать предпочтения клиента, его финансовые возможности.

Приведем пример персональных данных. Почти любая компания оперирует данными о контактах клиентов, полученными в ходе ежедневной работы. Базы данных по контактам ведутся не только по постоянным клиентам, но и по информации, полученной в ходе рекламных мероприятий. Все эти данные попадают под категорию персональных.

Таким образом, организация, которая осуществляет практически любую работу с персональными данными от обычной систематизации данных до их передачи третьим лицам, называется оператором персональных данных.

1.2 Общие требования при обработке персональных данных работников и гарантии их защиты

Работа с персональными данными должна быть организована в строгом соответствии с требованиями к обработке и хранению информации ограниченного доступа. Конфиденциальность, сохранность и защита персональных данных в отделе кадров обеспечивается отнесением их к служебной  тайне. Режим конфиденциальности персональных данных снимается в случаях обезличивания их или по истечении 75 – лет срока хранения, если иное не определено законом.

 В сфере  трудовых отношений данный вопрос  регулируется соответствующими положениями Трудового кодекса Российской Федерации, а также Федеральным законом от 27 июня 2006 года № 152-ФЗ «О персональных данных» и принятыми в его развитие подзаконными актами, регулирующими вопросы обработки персональных данных в информационных системах.

Согласно статье 3 ФЗ «О персональных данных», информационная система персональных данных представляет собой совокупность персональных данных, содержащейся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. С учётом того, что многие компании осуществляют обработку персональных данных своих работников с использованием компьютерной техники и специального программного обеспечения, необходимость соответствия требованиям ФЗ «О персональных данных» является актуальной для многих из них. При этом с точки зрения определения круга требований, которым должна соответствовать компания, важным критерием является факт использования средств автоматизации.

Обработка персональных данных считается осуществленной без  использования средств автоматизации (неавтоматизированной), если такие  действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека³. Из приведенного положения законодательства следует очень важный вывод – если непосредственная обработка персональных данных в информационной системе осуществляется с привлечением человека, то такая обработка персональных данных не является автоматизированной, что сужает круг требований, которым должна соответствовать компания. С учётом того, что большинство компаний осуществляют обработку персональных данных именно таким способом, в дальнейшем мы остановимся более подробно именно на этом типе обработки персональных данных. Стоит также отметить, что факт включения персональных данных в информационную систему не означает наличие средств автоматизации при обработке персональных данных.

Действующее законодательство устанавливает определенные требования для обработки персональных данных, осуществляемой без использования  средств автоматизации:

1. различные цели обработки персональных данных требуют использования раздельных материальных носителей и их раздельное хранение;
2. лица, осуществляющие обработку персональных данных, должны быть проинформированы о правилах такой обработки;
3. типовые формы документов, которые содержат персональные данные, должны отвечать определённым требованиям;
4. при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключаться несанкционированный к ним доступ;
5. оператор персональных данных должен установить правила обработки персональных данных в локальном нормативном акте (например, места хранения персональных данных, перечень лиц имеющих доступ к персональным данным, др.).

Также одним  из важных требований является обеспечение  безопасности персональных данных, в  том числе от несанкционированного доступа или изменения содержащихся в информационной системе данных. Такая безопасность достигается за счёт ряда мер организационного и технического свойства.

Основные организационные  меры заключаются в принятии соответствующего локального нормативного акта, который будет регулировать вопросы, связанные с персональными данными. Данный локальный нормативный акт, как правило, регулирует следующие вопросы:

• сбор, обработка и хранение персональных данных;
• защита персональных данных работника;
• передача персональных данных;
• ответственность за разглашение персональных данных работника;
• иные применимые положения.

Работодатель  обязан ознакомить работников под роспись  с таким локальным нормативным  актом. При этом при приеме на работу это должно быть сделано до подписания трудового договора с работником.

В части технических  мер можно выделить использование  специальных средств защиты информации (шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам и программно-технических воздействий на технические средства обработки персональных данных).

Наличие в компании положения о персональных данных важно не только с точки зрения соблюдения требований законодательства, но и с практической точки зрения. Нередко перед работодателем встает вопрос о передаче персональных данных того или иного работника третьей стороне. Так, подобная ситуация может возникнуть при заключении договора медицинского страхования в пользу работников (корпоративная программа добровольного медицинского страхования) и опосредованной этим передаче персональных данных работника страховой компании; при передаче функций по ведению бухгалтерского учета третьей стороне, при обращении к консультантам в сфере налогообложения, к юристам за получением соответствующей консультации и т.д.⁴

Помимо обеспечения  интересов работника, целью сбора  персональных данных может быть лишь контроль за количеством и качеством  работы, а также за сохранностью имущества. Поэтому, например, контроль за электронной перепиской со служебного электронного адреса, хотя и допустим, но все же должен ограничиваться регистрацией адресатов и не касаться содержания пересылаемых сообщений. Это же касается телефонных линий и других средств сообщения. Использование служебного имущества и служебных средств связи в личных целях может повлечь дисциплинарное взыскание, но работодатель не вправе на этом основании вмешиваться в личную жизнь работника.⁵

Подводя итог выше изложенному, хотелось бы еще раз обратить внимание на то, что для соответствия требованиям законодательства при обработке персональных данных работников для любой компании крайне важно осуществить оценку существующего порядка обработки персональных данных с точки зрения наличия необходимых локальных документов. Кроме того, необходимо осуществить проверку соответствия информационных систем персональных данных установленным требованиям. Все это позволит избежать нарушений законодательства, регулирующего вопросы обработки персональных данных работника.

1.3 Работа кадровой  службы с персональными данными

В силу специфики своей деятельности обработкой персональных данных в организации занимается отдел кадров. Именно здесь "оседает" весь объем сведений о работниках. Поэтому процессы обработки, передачи и защиты конфиденциальной информации о работниках должны быть упорядочены, прежде всего, в кадровой службе.

Правила ведения конфиденциального  делопроизводства должны применяться  в первую очередь в отношении  личных дел сотрудников, в которых  содержатся персональные данные. Комплектация личных дел является наиболее сложной и ответственной работой, требует особой тщательности и аккуратности при оформлении. Каждое предприятие вправе самостоятельно решать вопрос о том, какие документы включать в состав личных дел.

Работники отдела кадров должны помнить, что личные дела сотрудников  должны храниться строго отдельно от всех других документов в закрывающихся  шкафах или ящиках. Необходимо иметь  в виду также то обстоятельство, что документы, включенные в состав личных дел, имеют разные сроки хранения. Для некоторых из них (приказов, личных карточек) установлены продолжительные сроки хранения и обязательное требование по их передаче в государственные архивы.

Отделу кадров целесообразно  вести журнал учета, в который будут заноситься все факты ознакомления с персональными данными работников, а также информация о движении документов, включенных в личные дела, и самих личных дел. В таком журнале должны быть предусмотрены графы о дате выдачи и возврата документов (личных дел), сроке пользования, цели выдачи, наименовании выдаваемых документов (личных дел). В присутствии лица, возвращающего личное дело, обязательно сверяется по описи наличие всех документов. Лица, получающие документы (личные дела) во временное пользование, не имеют права делать в них пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Принципиальным требованием  правил работы с персональными данными  является установление личной ответственности  сотрудников за неразглашение доверенной им конфиденциальной информации, за сохранность сведений, а также их носителей. В этой связи лицо, получившее право работать с персональными данными, должно принять на себя ряд обязательств: не разглашать доверенные им сведения, неукоснительно выполнять правила работы с персональными данными, обеспечивать надежное хранение носителей конфиденциальной информации.

Также следует незамедлительно  сообщать уполномоченным лицам об утрате ключей, печатей и штампов, давать устные и письменные объяснения по фактам нарушения правил. В число ограничений входят также запреты на совершение определенных действий, могущих повлечь утрату носителей информации или разглашение конфиденциальных сведений, в частности, на передачу персональных данных лицам, не имеющим к ним доступа; на вынос документов из рабочего помещения без служебной необходимости и пр. Перечень указанных обязательств целесообразно отразить в Положении либо должностной инструкции специалиста.⁶

Более того, в  соответствии с частью 3 статьи 57 ТК РФ условие о неразглашении работником сведений, составляющих охраняемую законом тайну, ставшую ему известной в связи с исполнением своих должностных обязанностей, может быть включено в трудовой договор с таким специалистом. В этом случае на работодателе лежит обязанность ознакомить работника с локальными нормативными актами предприятия, содержащими правила обработки и защиты персональных данных. Именно такая процедура доступа может быть использована в отношении специалистов кадровых служб.⁷

Система защиты конфиденциальных сведений должна предусматривать  проведение регулярных проверок наличия  документов и других носителей информации, содержащих персональные данные работников, а также соблюдение правил работы с ними.

Однако, применение только административных мер не гарантирует полноценную охрану конфиденциальных сведений. Надежность защиты зависит во многом от расстановки и внутриорганизационного развития сотрудников. Кроме того, персонал - один из главных каналов утечки информации. Деятельность кадровой службы должна быть направлена на воспитание работников, допущенных к работе с персональными данными, выработку навыков работы с носителями конфиденциальной информации, закрытие бытовых каналов утечки данных. Здесь могут быть полезны индивидуальная беседа, предупреждение об ответственности, разъяснение юридических последствий разглашения информации.

1.4 Контроль защиты персональных данных работников

Взаимопонимание между руководством фирмы и работниками не означает полной свободы в организации рабочих процессов и желании выполнять или не выполнять требования по защите конфиденциальной информации. С этой целью руководителям всех рангов и службе безопасности следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.

Основными формами  контроля могут быть:

• аттестация работников;
• отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;
• регулярные проверки руководством фирмы и службой безопасности соблюдения работниками требований по защите информации;
• самоконтроль.

Аттестация работников представляется одной из наиболее действенных форм контроля их деятельности как в профессиональной сфере (исполнительность, ответственность, качество и эффективность выполняемой работы, профессиональный кругозор, организаторские способности, преданность делу организации и т. д.), так и в сфере соблюдения информационной безопасности фирмы.

В части соблюдения требований по защите информации проверяется знание работником соответствующих нормативных и инструктивных документов, умение применять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными документами, умение общаться с посторонними лицами, не раскрывая секретов фирмы и т.д.